'Ryuk': entenda o ataque desse vírus de resgate com perguntas e respostas

'Ryuk': entenda o ataque desse vírus de resgate com perguntas e respostas
Tira-dúvidas explica como o Ryuk pode chegar ao sistema e o que é possível fazer após a contaminação. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), envie um e-mail para [email protected] A coluna responde perguntas deixadas por leitores às terças e quintas-feiras.

Alvo principal do Ryuk são empresas com vários computadores conectados em rede. Praga causa interrupções e gera prejuízos.

Roy Andre Tollefsen/FreeImages

Sou desenvolvedor, mas gosto muito da área de segurança digital. Trabalho numa empresa de transportes e fomos atacados por esse ransomware [vírus de resgate]: Ryuk. Já ouviu falar desse "infeliz"? – Edson Jr.

O Ryuk é um vírus de resgate até bastante conhecido. Como ocorreu no seu caso, ele é famoso por atacar empresas de modo bastante personalizado, ou seja, cada alvo pode ser atingido de uma forma diferente, criando desafios para barrar esse ataque.

Para ajudar a esclarecer alguns pontos sobre essa ameaça, o blog procurou Daniel Bortolazo, engenheiro de sistemas sênior da Palo Alto Networks Brasil. Ele elencou alguns pontos para entender a operação desse vírus e como uma empresa pode reagir.

O que são vírus de resgate?

Os vírus de resgate, ou "ransomware", são pragas digitais que usam uma chave criptográfica para embaralhar os arquivos dos sistemas que contaminam. Para reverter esse processo, é preciso usar a chave de decifragem que, por regra, só os autores do vírus possuem.

Sabendo disso, os criminosos oferecem um canal de contato com a vítima e uma proposta para oferecer a ferramenta capaz de desfazer o estrago. Mas a empresa precisa pagar por isso.

Ou seja, os arquivos foram "sequestrados", e os criminosos querem cobrar um resgate.

O que o Ryuk tem de diferente?

Cada "espécie" de vírus de resgate pode ser reconhecida a partir de dois conjuntos de fatores.

O primeiro são as características técnicas próprias do vírus, como o método de criptografia usado, a forma de cobrança e a mensagem de resgate.

O segundo são os métodos usados para atacar os alvos em si.

O Ryuk faz parte de uma nova onda de vírus de resgate que passou a se especializar em ataques mais direcionados, inclusive com possibilidade de intervenção humana em cada alvo.

Isso diferencia os novos vírus de resgate daqueles mais antigos, como o WannaCry, que atacam sistemas sem nenhum critério, apenas contando com a sorte para obter mais pagamentos.

O Ryuk, porém, pode atingir alvos específicos, e o valor cobrado nem sempre é o mesmo. Se o criminoso entende que o sistema é crítico para uma empresa e que ela tem condições de pagar, é provável que o resgate seja mais caro.

Bortolazo, da Palo Alto Networks, explica que o Ryuk ataca organizações de diversos setores desde 2018 e que, em 2020, houve um aumento significativo nos ataques contra instituições dos setores de educação, governo e saúde, inclusive em sistemas hospitalares.

"A gangue de ransomware Ryuk é muito ativa e demonstrou um grande interesse em visar o setor de saúde e o setor de saúde pública, potencialmente interrompendo os serviços e operações. Essas questões são particularmente desafiadoras durante a pandemia do covid-19", afirmou.

Segundo o especialista, os pagamentos cobrados pelo Ryuk variam entre e US$ 600 mil a US$ 10 milhões. A forma de pagamento mais comum é o Bitcoin.

SAIBA MAIS: Por que o Bitcoin consome tanta energia? Entenda a segurança 'antieficiente' das criptomoedas

Como o Ryuk chega aos alvos?

Seguindo uma "cartilha" muito frequente para os vírus de resgate, a contaminação do Ryuk normalmente começa com um e-mail malicioso.

A mensagem é enviada a um funcionário da empresa que, ao abrir o e-mail, acaba contaminando a rede.

A primeira etapa do ataque costuma ser um outro vírus chamado de Trickbot – uma praga digital que a Microsoft tentou desarticular em outubro de 2020 com um processo na Justiça.

Mais recentemente, a instalação do Ryuk pode ser feita por outro vírus, o BazaLoader.

Esse estágio inicial pode ficar semanas ou até meses na rede da empresa atacada. Bortolazo explica que, durante esse período, os invasores se aproveitam de ferramentas próprias de ambientes corporativos, como as soluções de gestão do Windows, para "conhecer" a rede.

Esse período de "análise" é necessário porque os vírus de resgate, quando são acionados, não podem mais ser escondidos. Portanto, os criminosos têm interesse em garantir que o vírus atinja o maior número possível de sistemas.

O carregamento do Ryuk, portanto, ocorre após o estágio inicial se alastrar pela rede.

Segundo uma análise da SentinelLabs, vírus pode inclusive tentar ligar computadores desligados (em "standby") por meio de um comando especial de rede chamado "Wake-On-LAN". Se der certo, ele pode criptografar também os arquivos compartilhados desses computadores.

Existe alguma forma de reverter o estrago?

Como é o caso da maioria dos vírus de resgate, não basta "descontaminar" o sistema para reverter os efeitos do processo de criptografia.

Ainda que seja possível remover o vírus, a decifragem e recuperação de dados é um processo à parte.

Segundo Bortolazo, da Palo Alto Networks, a segurança da criptografia do Ryuk até hoje não foi quebrada em nenhuma versão do vírus.

Sendo assim, é obrigatório possuir um backup (cópia secundária dos dados) para que seja possível recuperar os sistemas de forma confiável.

É possível recuperar arquivos sequestrados por vírus de resgate?

O que é necessário fazer após uma contaminação?

Segundo Bortolazo, a resposta a uma invasão do Ryuk tem três etapas: a restauração de sistemas críticos, uma investigação profunda do ataque e investimentos em plataforma de segurança e conscientização do usuário.

Os três passos podem ser desafiadores.

A investigação do incidente pode ser a mais complicada, especialmente para empresas menores que não dispõem de equipes especializadas.

Nesse caso, Bortolazo sugere que a companhia busque uma equipe capacitada para agir com rapidez, limitando assim o período de interrupção causado pelo ataque.

A automatização de algumas tarefas também pode ajudar a equipe a ganhar eficiência ao longo do trabalho.

O especialista também sugere uma reavaliação do método de proteção das estações de trabalho ("endpoints").

Existem soluções que atuam de forma coordenada com segurança de rede, análise de malware e a gestão, o que pode ajudar a reduzir o chamado "movimento lateral" – ou seja, a proliferação do vírus dentro da rede.

Estudar a adoção de ferramentas para reduzir a incidência de e-mails maliciosos e seguir a cartilha de boas práticas em segurança – com atualizações e uso correto de ferramentas para trabalho remoto, por exemplo – também vai ser importante para prevenir ataques.

A etapa de conscientização e treinamento dos usuários pode colaborar porque, como explicado, os vírus de resgate ainda chegam à rede das empresas em mensagens de e-mail fraudulentas (phishing).

Como os ataques mais recentes de ransomware costumam ser ao menos em parte adaptados para cada alvo, tanto as etapas de resposta como de prevenção têm exigido uma postura completa das empresas.

Infelizmente, não parece ser possível se proteger dos vírus de resgate como se eles fossem uma ameaça isolada. Alguns desses ataques vão pôr à prova quase todas as faces da segurança digital – do lado humano aos sistemas.

Dúvidas sobre segurança digital? Envie um e-mail para [email protected]

Veja dicas para manter seus dados seguros: